本月初，安全研究员 Ivan Rodriguez 提出了 iOS 应用程序的新安全标准，并将其命名为 Security.plist 。它的灵感，来自于已经非常流行的 Security.txt 标准。其想法是，应用程序制造商需要创建一个名为 security.plist 的属性列表文件，并将之嵌入到 iOS 应用程序的根目录中。该文件将包含所有基本的信息，以便向开发者汇报安全漏洞。

（题图 via ZDNet）

Rodriguez 表示，Security.plist 的想法，其实来自于 Security.txt 。作为网站上的一个类似标准，其最早在 2017 年被提出。

Security.txt 目前正在互联网工程任务组（IETF）的带动下展开标准化制定工作，但已经被业界广泛采用，并且得到了谷歌、Github、LinkedIn 和 Facebook 等科技巨头的支持。

分析网站安全的研究人员，能够通过一种轻松的方式，与站方取得联系。

实际上，Rodriguez 本身就是一位利用业余时间来查找 iOS 应用程序漏洞的研究人员。之所以决定向 iOS App 开发者提出类似的倡议，与它此前的经历有很大关系。

我大部分时间，都是在 App 中闲逛，从而发现了许多漏洞。但迄今为止，我还没有找到一种可以轻松找到相关责任人和正确披露渠道的简便 *** 。

通常情况下，我必须撰写一封邮件，发送到类似 info@company.com 企业邮箱，或在官网联系页面填写表格。

遗憾的是，这些渠道中的大多数，都是与不专业的商务或营销人员对接。他们可能不知道如何应对，甚至不明白问题的严重程度。

为了解决这个痛点，Rodriguez 提议，大家不妨在应用程序根目录中留下一份 plish 文档，并在其中备注适当的联系方式，以便轻松沟通和高效率地解决问题。

不过目前，他也只是提出了这个想法，并且希望听取应用开发商的意见，而不是敦促苹果立即下达死命令。

Rodriguez 向 ZDNet 表示：“目前我已经听取了大量的反馈，可能许多人都与我有共鸣。尽管现在实施 security.plist 标准可能为时尚早，但我还是希望它在移动应用程序的部署上流行开来”。

鉴于苹果在安全实践方面一直做得很不错，Rodriguez 没有立即让苹果推广 security.plist 的强制标准，毕竟实际执行起来也是一个麻烦。

不过为了促进发展，他还是专门为 security.plist 打造了一个网站。应用程序开发商可在其中创建一个基本文件，然后将之包含在自己的 App 中。

（稿源：cnBeta，封面源自 *** 。）